DE3712833A1 - Safety control device - Google Patents

Safety control device

Info

Publication number
DE3712833A1
DE3712833A1 DE19873712833 DE3712833A DE3712833A1 DE 3712833 A1 DE3712833 A1 DE 3712833A1 DE 19873712833 DE19873712833 DE 19873712833 DE 3712833 A DE3712833 A DE 3712833A DE 3712833 A1 DE3712833 A1 DE 3712833A1
Authority
DE
Germany
Prior art keywords
safety
processors
relays
output
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19873712833
Other languages
German (de)
Inventor
John Robert Brohm
Walter Friesen
Abraham Kanner
Stuart Allen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent NV
Original Assignee
Alcatel NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel NV filed Critical Alcatel NV
Publication of DE3712833A1 publication Critical patent/DE3712833A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/06Vehicle-on-line indication; Monitoring locking and release of the route
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L1/00Devices along the route controlled by interaction with the vehicle or vehicle train, e.g. pedals
    • B61L1/20Safety arrangements for preventing or indicating malfunction of the device, e.g. by leakage current, by lightning

Abstract

A safety control device for use in railway control systems is disclosed, which produces control data from track occupancy data which are supplied by track circuits or axle counting devices and transmits the said control data with reliable signalling technology to adjacent devices. For this purpose, the safety control device contains two processors which operate in parallel and compare their results in criss-cross fashion. Both processors output their results by means of external output relays. The power supply to these output relays is disconnected by two safety relays assigned to the individual processors if a code which is regularly transmitted, as a function of the comparison of the results, by the processors to the monitoring units which control the safety relays, does not occur. <IMAGE>

Description

Die Erfindung betrifft eine Sicherheitssteuereinrichtung gemäß dem Oberbegriff des Patentanspruchs 1.The invention relates to a safety control device according to the preamble of claim 1.

Solche Einrichtungen sind z.B. aus Eisenbahn-Betriebssteuerzentralen (s. z.B. Aufsatz von M. Kalusa et al in "Signal + Draht" 70 (1978) Heft 7/8, S. 149 ff) bekannt.Such devices are known, for example, from railway operating control centers ( see, for example, essay by M. Kalusa et al in "Signal + Draht" 70 (1978) Issue 7/8, pp. 149 ff).

Herkömmliche, mit festen Blockabständen arbeitende Steueranlagen für schienengebundene Fahrzeuge sind heute mit signaltechnisch sicheren Relaisschaltungen aufgebaut. Um die Fahrzeugbewegungen zu steuern werden die Sicherheitsfunktionen ausführenden Relais allgemein so angeordnet und verschaltet, daß zwischen den aufeinanderfolgenden Fahrzeugen ein Sicherheitsabstand (für gewöhnlich von der Länge eines Blockes) aufrechterhalten wird, wobei die zugehörigen Fahrweginstruktionen dem Fahrzeugführer über an der Strecke befindliche Signale übermittelt werden. Diese festen Signale befinden sich normalerweise an bestimmten Streckenpunkten, z.B. den Blockanfängen. Signalbegriffe können aber auch im Fahrzeug in Form einer Führerstandsanzeige sichtbar gemacht werden. Diesen Prozeß des Steuerns und Überwachens von Zugfahrten nennt man signalabhängige Steuerung.Conventional, fixed block spacing Control systems for rail-bound vehicles are today built with signal-safe relay circuits. To control the vehicle movements, the Relays performing safety functions in general arranged and interconnected that between the successive vehicles a safety distance (usually the length of a block)  is maintained, with the associated Route instructions to the driver via the Route signals are transmitted. These fixed signals are usually at certain Waypoints, e.g. the beginning of the block. Signal terms can also in the form of a vehicle Driver's cab display can be made visible. This one Process of controlling and monitoring train journeys one signal-dependent control.

Die grundlegenden Prinzipien der signalabhängigen Steuerung erfordern, daß alle Steuerstromkreise signaltechnisch sicher aufgebaut sind. Signaltechnisch sicher bedeutet, daß bei Auftreten eines einzelnen Fehlers oder einer statistisch signifikanten Fehlerkombination innerhalb der Steuerung diese einen sicheren Zustand annimmt. Dieses Prinzip wird in Relaistechnik mittels speziell entwickelter Relais, in Sicherheitsstromkreisen durch Anwendung einer sicherheitsgeprüften Schaltungstechnik verwirklicht.The basic principles of signal-dependent Control require all control circuits are constructed in terms of signal technology. Signaling safe means that when an individual occurs Error or a statistically significant Error combination within the control of these one assumes safe condition. This principle is used in Relay technology using specially developed relays, in Safety circuits by using a Safety-tested circuit technology implemented.

Ein weiteres Erfordernis ist, am Ort gewonnene Stellinformation wie z.B. Signalstellungen und Weichenlagen so zu Stelleinrichtungen der Nachbarabschnitte zu übertragen, daß den nachfolgenden Fahrzeugen die richtigen, gesicherten Anzeigen übermittelt werden können.Another requirement is locally gained Positioning information such as Signal positions and Switch positions so to control the To transfer neighboring sections that the following Vehicles the right, secure ads can be transmitted.

Diese Übertragung muß, um dem Prinzip der signalabhängigen Steuerung zu genügen, signaltechnisch sicher erfolgen. Herkömmliche Einrichtungen verwenden hierzu entweder feste Datenverbindungen oder Gleisstromkreissysteme. This transfer must follow the principle of sufficient signal-dependent control, signal technology done safely. Use conventional equipment either fixed data connections or Track circuit systems.  

Die Nachteile signaltechnisch sicherer Relaistechnik liegen in hohen Einrichtungskosten und einer schlechten Anpassungsfähigkeit. Eine durchschnittliche, in Relaistechnik ausgeführte signaltechnische Einrichtung benötigt ca. 150 bis 200 Relais. Jeder Verschluß ist besonders verdrahtet und alle Relais und deren Verbindungen untereinander sind jeweils speziell einem Ort an der Strecke zugeordnet und den dortigen Gegebenheiten angepaßt.The disadvantages of reliable relay technology are high set-up costs and a bad one Adaptability. An average, in Relay technology implemented signaling equipment requires approx. 150 to 200 relays. Every lock is especially wired and all relays and their Connections to each other are each one Assigned to the location on the route and the location there Adapted to the circumstances.

Um den zwingenden Erfordernissen, die an die Einrichtung und deren Umgebung gestellt werden, nachzukommen, muß als streckenseitiges festes Gehäuse ein ziemlich großer Schaltkasten oder ein Schalthaus vorgesehen werden. Die Relais sind in Gestellen angeordnet, wobei auf jedes Gestell, inklusive Hilfseinrichtungen, etwa 20 bis 30 Relais kommen. Wenn sich das Verkehrsaufkommen ändert und zusätzliche Gleise oder Weichen verlegt werden müssen, muß das gesamte Schalthaus neu eingerichtet, oftmals sogar durch ein größeres ersetzt werden. Dieser den herkömmlichen Einrichtungen von Grund auf anhaftende Mangel an Flexibilität verursacht erhebliche Einrichtungs- und Überarbeitungskosten.To meet the imperative requirements of the establishment and their surroundings must be met as trackside solid case a pretty big one Switch box or a switch house can be provided. The Relays are arranged in racks, with each Frame, including auxiliary devices, about 20 to 30 Relays are coming. When the traffic changes and additional tracks or switches have to be laid, the entire control center has to be newly furnished, often even be replaced by a larger one. This one traditional facilities from the ground up Lack of flexibility causes significant Setup and revision costs.

Einrichtungen zur signaltechnisch sicheren Übertragung von Stellinformation weisen die gleichen Nachteile auf. Für jede Information, die zu einer benachbarten Verschlußlogik übertragen werden muß, ist eine getrennte Drahtverbindung erforderlich. Diese Drahtverbindungen müssen entlang der gesamten Eisenbahnstrecke eingerichtet werden. Devices for secure signal transmission of positioning information have the same disadvantages. For any information related to an adjacent one Lock logic must be transmitted is a separate one Wire connection required. These wire connections must be set up along the entire railway line will.  

Freileitungen oder Erdkabel sind kostspielig zu verlegen und zu unterhalten. Sie sind auch empfindlich gegenüber Beschädigungen infolge ungünstiger Streckenverhältnisse, was zu Verspätungen und Unterbrechungen des Zugverkehrs führt. Freileitungen erfordern auch erhebliche Umbauarbeiten, wenn Änderungen an der Strecke oder am Signalsystem vorgenommen werden müssen. Um dem Sicherheitsbedürfnis nachzukommen, dürfen außerdem nur besonders zugelassene Drähte und Verdrahtungstechniken benutzt werden.Overhead lines or underground cables are expensive to install and entertain. They are also sensitive to it Damage due to unfavorable route conditions, resulting in delays and interruptions in train traffic leads. Overhead lines also require considerable Conversion work if changes to the route or to the Signal system must be made. To that Meeting security needs are also only allowed specially approved wires and wiring techniques to be used.

Ein weiterer Nachteil ist darin zu sehen, daß es in herkömmlich aufgebauten Steuerungen keine Möglichkeit gibt, vergangene Ereignisse zu speichern. Letzteres ist besonders dann erforderlich, wenn ein Unfall oder andere Ereignisse, die eine Untersuchung erfordern, eintreten. In herkömmlichen Stellwerkseinrichtungen gibt es nur die Möglichkeit, zu versuchen, das Ereignis nachzubilden und z.B. mittels eines Streifenschreibers zu beweisen, wie die Einrichtung arbeitet. Die wirklichen Vorgänge zur Zeit des ungewöhnlichen Ereignisses lassen sich nur schwierig erkennen und rekonstruieren.Another disadvantage is that it is in Conventionally designed controls are not an option there to save past events. The latter is especially necessary if an accident or other Events that require investigation occur. In conventional signal boxes, there is only one Possibility to try to recreate the event and e.g. to prove by means of a strip recorder how the facility is working. The real processes for Time of the unusual event can only be difficult to recognize and reconstruct.

Es sind signaltechnisch sichere, auf der Basis von Mikroprozessoren aufgebaute Stellwerkssysteme bekannt. Solche auf einen einzelnen Mikroprozessor gestützte Systeme mit oder ohne Reserverechner sind empfindlich gegenüber Fehlern, die, analog zu manchen Bauelementefehlern, durch solche Ausfälle im Rechner hervorgerufen werden, die keine Abschaltung des Rechners bewirken. Diese Einzelfehler können bei Einsatz der bekannten Systeme ein Risiko darstellen.They are signal-safe, based on Microprocessor based interlocking systems known. Such based on a single microprocessor Systems with or without spare computers are sensitive towards errors that, analogous to some Component errors due to such failures in the computer are caused that do not shutdown the computer cause. These individual errors can occur when using the known systems pose a risk.

Es ist Aufgabe der Erfindung, eine Sicherheitssteuereinrichtung zu schaffen, die die vorgenannten Schwierigkeiten überwindet, indem sie, verglichen mit heutigen Stellwerkseinrichtungen, auf gleichem oder höherem Sicherheitsniveau eine wesentlich höhere Flexibilität bietet und geringeren Anpassungsaufwand bei späteren Änderungen verursacht.It is an object of the invention To create security control device which the overcomes the aforementioned difficulties by, compared to today's signal boxes the same or a higher level of security offers greater flexibility and less Adjustment effort caused by later changes.

Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 gelöst.This object is achieved through the features of the patent claim 1 solved.

Zusätzlich erlaubt die Sicherheitssteuereinrichtung nach der Erfindung die Übertragung sicherheitskritischer Daten über die verschiedensten Übertragungsmedien ohne für jede einzelne Information eine beondere Drahtverbindung zu benötigen. Die Information wird in Form multiplexierter Datentelegramme über irgendeinen gewöhnlichen Übertragungskanal gesendet. Die Übertragung erfolgt dabei in einer Art und Weise, die die signaltechnische Sicherheit der Daten gewährleistet.In addition, the safety control device allows after the invention the transmission of safety-critical data across a wide variety of transmission media without for everyone individual information to a special wire connection need. The information is multiplexed in the form Data telegrams over any ordinary Transmission channel sent. The transfer takes place in a way that the signaling Data security guaranteed.

Die elektronische Verschlußeinrichtung, die den Kern der Sicherheitssteuereinrichtung nach der Erfindung bildet, ist signaltechnisch sicher und modular aufgebaut. Sie stellt eine Standard-Einheit dar, die in allen Stelleinrichtungen verwendet werden kann. Sie ist in sich abgeschlossen, so daß sie leicht in ein einziges 19′′-Gestell eingebaut werden kann, womit in den Gehäusen an der Strecke erheblich Platz eingespart wird.The electronic locking device that the core of the Safety control device according to the invention, is signal-safe and modular. they represents a standard unit that is common to all Actuators can be used. It is in itself completed so that it easily into one 19 '' - frame can be installed, which in the housings considerable space is saved along the route.

Die Rechnerkonfiguration ist für alle Anwendungsfälle gleich. Lediglich die Anzahl der Eingangs/Ausgangs-Module hängt vom Umfang der Steuerung in der Verschlußeinrichtung ab. Die Anpassung an geänderte Streckenanforderungen geschieht durch Hinzufügen oder Wegnehmen von Eingangs/Ausgangs-Modulen. Änderungen in der Logik, die bei Änderungen der Betriebsweise erforderlich werden, werden vom Benutzer durch Umprogrammieren des Benutzerbereichs des Systemspeichers vorgenommen. Diese Merkmale erhöhen die Lebensdauer, verbessern die Flexibilität bei der Anwendung und darüberhinaus die Gebrauchstüchtigkeit der Verschlußsteuerung im Vergleich zu herkömmlichen Systemen.The computer configuration is for all applications equal. Only the number of input / output modules depends on the scope of control in the Closure device from. Adaptation to changed  Route requirements are done by adding or Removing input / output modules. Changes in the logic of changes in operation be required by the user Reprogramming the user area of the system memory performed. These features increase the lifespan, improve application flexibility and furthermore the usability of the Lock control compared to conventional systems.

In ihrer Eigenschaft als programmierbare logische Einrichtung kann die elektronische Verschlußeinrichtung historische Daten speichern. Diese Daten machen es möglich, die einzelnen Schritte, die zu einem zu untersuchenden Ereignis geführt haben, nachträglich zu erkennen und detailliert zu beschreiben. Damit kann schnelle und genaue Aufklärung gegeben werden und gewonnene Erkenntnisse können weiterverwertet werden, um eine Wiederholung solcher Ereignisse in der Zukunft selten werden zu lassen oder ganz auszuschalten.In their capacity as programmable logical Device can be the electronic locking device save historical data. This data does it possible the individual steps leading to one investigating event have led to recognize and describe in detail. So that can quick and accurate information is given and Insights gained can be used to a repetition of such events in the future to be seldom or to be switched off completely.

Anhand einer Figur soll nun die erfindungsgemäße Steuereinrichtung ausführlich beschrieben werden.The figure according to the invention is now to be described with reference to a figure Control device will be described in detail.

Die sichere elektronische Verschlußeinrichtung, wie sie im Ausführungsbeispiel und der Figur angegeben ist, enthält zwei Mikroprozessoren R 1, R 2 in einer redundanten, über einen Vergleichskanal CC eine ständige gegenseite Prüfung zulassenden Konfiguration. Zusätzliche Prozessoren können zur Erhöhung der Verfügbarkeit eingesetzt werden. Jeder Prozessorspeicher besteht aus einem Festwertspeicherteil und einem Schreib-Lese-Speicherteil. The secure electronic locking device, as specified in the exemplary embodiment and the figure, contains two microprocessors R 1 , R 2 in a redundant configuration which allows a constant mutual check via a comparison channel CC . Additional processors can be used to increase availability. Each processor memory consists of a read-only memory part and a read-write memory part.

Die aus dem von den beiden Prozessoren gebildeten zentralen Prozessorbereich ausgegebenen Daten werden in externen Ausgangsspeichern AS gespeichert, welche Ausgaberelais AR steuern. Diese Relais bilden die Schnittstelle zu verschiedenen Stellbefehlsleitungen AL.The data output from the central processor area formed by the two processors are stored in external output memories AS , which control output relays AR . These relays form the interface to various control command lines AL .

Die Sicherheit der Ausgänge wird durch zwei voneinander unabhängige sichere Überwachungseinheiten UE 1, UE 2 erreicht. Jede Überwachungseinheit ist einem Rechner zugeordnet und steuert den Betriebsstrom der Ausgaberelais über ein besonderes Sicherheitsrelais VR 1, VR 2. Um die sicheren Überwachungseinheiten in Betrieb zu halten, müssen beide Prozessoren in allen sicherheitsrelevanten Daten übereinstimmen. Nichtübereinstimmung in sicherheitsrelevanten Ausgangsdaten, Spannungsausfall oder Unterbrechung einer Leitung unterbricht den Betrieb der sicheren Überwachungseinheiten und bewirkt damit den Rückfall der als Schwerkraftrelais ausgeführten Sicherheitsrelais. Die Rechner der elektronischen Verschlußeinrichtung sind unterbrechungsgesteuert. Die Unterbrechungen werden entsprechend einer vorgegebenen Prioritätsliste abgearbeitet. Die beiden Prozessoren reagieren auf zwei Unterbrechungssignale höherer Priorität, welche über festverdrahtete Zuleitungen TL 1, TL 2 jedem Prozessor direkt zugeführt werden. Die Priorität wird durch eine beiden Prozessoren gemeinsame Unterbrechungssteuereinheit festgelegt. Ein beiden Prozessoren gemeinsamer Taktgenerator TG besitzt einen Quarzkristalloszillator mit zwei unabhängigen Frequenzteilerketten und liefert den notwendigen Zeittakt und die Unterbrechungssignale. The security of the outputs is achieved by two independent monitoring units UE 1 , UE 2 , which are independent of one another. Each monitoring unit is assigned to a computer and controls the operating current of the output relays via a special safety relay VR 1 , VR 2 . In order to keep the safe monitoring units in operation, both processors must match in all safety-relevant data. Mismatch in safety-related output data, voltage failure or line interruption interrupts the operation of the safe monitoring units and thus causes the safety relays designed as gravity relays to drop out. The computers of the electronic locking device are interrupt-controlled. The interruptions are processed according to a predetermined priority list. The two processors react to two interrupt signals of higher priority, which are fed directly to each processor via hard-wired feed lines TL 1 , TL 2 . The priority is determined by an interrupt control unit common to both processors. A clock generator TG common to both processors has a quartz crystal oscillator with two independent frequency divider chains and supplies the necessary clock and the interrupt signals.

Die sichere Datenübertragung wird eingeleitet sobald das Anlaufprogramm abgeschlossen ist und die Sende/Empfangseinheiten zum Senden bereit sind. Bevor ein Datenwort zur Sendung auf einen Übertragungskanal K freigegeben wird, führen die beiden Prozessoren überkreuz einen Vergleich des Wortes durch, um dessen Gültigkeit festzustellen. Wird von den beiden Prozessoren Übereinstimmung des Datenwortes festgestellt, wird es an Sende/Empfangseinheiten SE 1, SE 2 zur Sendung weitergeleitet. Eine bleibende Nichtübereinstimmung führt zu einer Sperrung des auszugebenden Datenwortes und zur Annahme eines sicheren Zustands.Secure data transmission is initiated as soon as the startup program has been completed and the transmitter / receiver units are ready to send. Before a data word is released for transmission on a transmission channel K , the two processors cross-compare the word to determine its validity. If the two processors determine that the data word is the same, it is forwarded to transmission / reception units SE 1 , SE 2 for transmission. A permanent mismatch leads to a blocking of the data word to be output and to the assumption of a safe state.

Ankommende Meldungen auf dem Übertragungskanal K werden in serielle digitale Bitströme umgesetzt und den Sende/Empfangseinheiten zugeführt. Nach Erkennen des Telegrammkopfes erkennt das System den Inhalt eines fehlerfreien Telegramms und übernimmt die Daten zur weiteren Verarbeitung. Jeder Prozessor hat Zugriff zu der ihm zugeordneten Sende/Empfangseinheit und speichert die empfangenen Daten.Incoming messages on the transmission channel K are converted into serial digital bit streams and fed to the transmitting / receiving units. After recognizing the telegram header, the system recognizes the content of an error-free telegram and accepts the data for further processing. Each processor has access to the transmitter / receiver unit assigned to it and stores the received data.

Ein empfangenes Datentelegramm wird nur dann akzeptiert, wenn die von beiden Prozessoren empfangene Information übereinstimmt, wenn der zyklische Redundanzcode, mit dem das Datentelegramm gesichert ist, in Ordnung ist, wenn ein den Empfängerstatus angebendes Datenwort richtig ist und wenn die enthaltenen Daten plausibel sind. Das letzte Merkmal verbessert die Fehlererkennung innerhalb der Empfängerkette.A received data telegram is only accepted if if the information received by both processors matches if the cyclic redundancy code matches the the data telegram is secured, is OK if a data word indicating the recipient status is correct and if the data it contains is plausible. The last Feature improves error detection within the Recipient chain.

Jeder der Prozessoren steuert ein Sicherheitsrelais VR 1, VR 2 über seine sichere Überwachungseinheit UE 1, UE 2. Jede sichere Überwachungseinheit beaufschlagt hierzu ihr Sicherheitsrelais mit Gleichstrom, solange sie ständig einen von dem ihr zugehörigen Prozessor erzeugten Übereinstimmungsimpuls als Lebenszeichen erhält. Dieses Lebenszeichen gibt der Prozessor während jedes Arbeitszyklus aus, wenn gesichert ist, daß alle sicherheitsrelevanten Prüfungen durchgeführt und erfolgreich bestanden wurden. Das Lebenszeichen hat festgelegte elektrische Merkmale, so daß jeder Fehler, der eine Schwächung oder einen Verlust des Lebenszeichens bewirkt, die Entregung des Sicherheitsrelais zur Folge hat.Each of the processors controls a safety relay VR 1 , VR 2 via its safe monitoring unit UE 1 , UE 2 . For this purpose, each safe monitoring unit applies direct current to its safety relay as long as it constantly receives a conformity pulse generated by its associated processor as a sign of life. The processor issues this sign of life during each work cycle if it is certain that all safety-relevant tests have been carried out and successfully passed. The sign-of-life has fixed electrical characteristics so that any fault that causes a weakening or loss of the sign-of-life will de-energize the safety relay.

Das Arbeitsprinzip der Überwachungseinheiten beruht auf dem Erfordernis, daß beide Prozessoren ständig ein dynamisches Signal mit genauen Zeitvorschriften ausgeben müssen um die Stromzufuhr zu den Ausgaberelais AR aufrechtzuerhalten.The principle of operation of the monitoring units is based on the requirement that both processors must continuously output a dynamic signal with precise time regulations in order to maintain the current supply to the output relays AR .

Das Lebenssignal wird von beiden Prozessoren über hierfür vorgesehene Ausgänge LS 1, LS 2 ausgegeben. Die Ausgabe erfolgt einmal während jedes Arbeitszyklus an die zugeordnete Überwachungseinheit. Solange beide Signale vorhanden sind, wird in jeder Überwachungseinheit ein Schnittstellenrelais ständig erregt. Ist eines der Relais in einer der beiden Überwachungseinheiten länger als eine vorgegebene Zeit entregt - ein Zeichen für einen möglichen Prozessorfehler - wird die Stromzufuhr zu den Sicherheitsrelais unterbrochen.The life signal is output by both processors via outputs LS 1 , LS 2 provided for this purpose. The output occurs once during each work cycle to the assigned monitoring unit. As long as both signals are present, an interface relay is constantly excited in each monitoring unit. If one of the relays in one of the two monitoring units is de-energized for longer than a specified time - a sign of a possible processor error - the power supply to the safety relays is interrupted.

Um den Betrieb der jeweiligen Überwachungseinheit UE 1, UE 2 zu prüfen, wird der Zustand ihres Relais über Eingänge CS 1, CS 2 von beiden Prozessoren eingelesen. In order to check the operation of the respective monitoring unit UE 1 , UE 2 , the status of its relay is read by both processors via inputs CS 1 , CS 2 .

Bemerken die beiden Prozessoren, daß der Prüfzustand permanent falsch ist, stellen sie ihre Lebenszeichen ein und bringen damit beide Sicherheitsrelais VR 1, VR 2 zum Abfall. Auf diese Weise werden Kontaktfehler der Schnittstellenrelais schnell erkannt und führen zur Reaktion auf die sichere Seite. Arbeitet eine der Überwachungseinheiten fehlerhaft, so führt das zu sofortiger Einstellung des Ausgangssignals an die Sicherheitsrelais, unabhängig von den Prozessoren. Zur Ausgabe von Stelldaten gibt jeder Rechner zunächst eine Ausgabeanforderung aus. Anschließend gibt er die Stelldaten für den kreuzweisen Datenvergleich aus. Stimmen die Daten überein, wird ein Übereinstimmungsimpuls ausgegeben und die Daten werden in den ausgewählten externen Ausgangsspeicher AS eingespeichert. Die Ausgaberelais AR nehmen dann den neuausgegebenen Status an.If the two processors notice that the test status is permanently incorrect, they set their signs of life and thus cause both safety relays VR 1 , VR 2 to drop out. In this way, contact errors of the interface relays are quickly recognized and lead to a reaction on the safe side. If one of the monitoring units works incorrectly, this leads to the immediate setting of the output signal to the safety relays, regardless of the processors. To output control data, each computer first issues an output request. He then outputs the control data for the crosswise data comparison. If the data match, a match pulse is output and the data are stored in the selected external output memory AS . The output relays AR then assume the newly output status.

Kontakte beider Sicherheitsrelais liegen in Reihe mit der Stromquelle und Kontakten der Ausgaberelais aller Sicherheitssteuerstromkreise. Um eine Stellhandlung zu veranlassen, muß jeder Prozessor das entsprechende Kommando erarbeiten und ausgeben, seine Ausgabe mit der Ausgabe des anderen Prozessors vergleichen und sofern Übereinstimmung festgestellt wird, das Übereinstimmungszeichen ausgeben. Wenn aus irgendeinem Grund keine Übereinstimmung erreicht wird oder ein Fehler, der das Übereinstimmungszeichen schwächt oder seine Ausgabe verhindert, eintritt, wird die befohlene Stellhandlung unterbunden. Die Stromversorgung der Verschlußeinrichtung wird unterbrochen. Contacts of both safety relays are in series with the Power source and contacts of the output relays of all Safety control circuits. To an act too cause, each processor must the appropriate Develop and issue command, its issue with the Compare the output of the other processor and if so Agreement is found that Output match marks. If from any Reason no match is reached or a Error that weakens the match sign or its issue prevents it from occurring, the order is ordered Act prevented. The power supply of the Closure device is interrupted.  

Der Status des Signalausgangs in Richtung zu den Stellelementen wird innerhalb jedes Programmzyklus geprüft um die Ausgangsbefehle zu überwachen. Der Zustand der Ausgangsrelais wird von den Prozessoren eingelesen und mit dem befohlenen Status verglichen. Dieser Zustand, und damit ein Fehler eines Relais oder eine fehlerhafte Verdrahtung, wird erkannt und die Rechner reagieren sofort darauf.The status of the signal output towards the Controls are used within each program cycle checked to monitor the output commands. The state the output relay is read in by the processors and compared to the ordered status. This state and thus a fault of a relay or a faulty one Wiring is recognized and the computers react immediately afterwards.

Während einer Ausgabe unterbrechen die Rechner die Prüfung des zugeordneten Kommandokanals für eine vorgegebene Zeit, um falsche Statusmeldungen während der Zeit, in der die Ausgangsrelais aktiv sind, zu verhindern.The computers interrupt the output Check the assigned command channel for a given time to receive incorrect status reports during the Prevent time during which the output relays are active.

Erhält der Rechner keine richtige Statusmeldung, so bedeutet dies eine mögliche Gefährdung. Für sicherheitsrelevante Steuerfunktionen bedeutet der Empfang eines falschen Status des Kommandokanals durch die Prozessoren eine mögliche Gefährdung und die Prozessoren stellen daraufhin sofort die Ausgabe des Übereinstimmungszeichens ein. Sie stellen damit sicher, daß die Betriebsspannung vom Ausgang abgetrennt wird. Damit wird das System in den sicheren Zustand gebracht.If the computer does not receive a correct status message, then this means a possible hazard. For security-relevant control functions means Received an incorrect status of the command channel the processors a potential hazard and the Processors then immediately issue the Match sign. In doing so, you ensure that the operating voltage is disconnected from the output. This brings the system into a safe state.

Statusinformation wird über Statusleitungen SL und einen Statuseingangsmodul EM angeboten und umfaßt den Prüfstatus der Stelleinrichtungen. Diese Informationen werden während jedes Prozeßzyklusses in den Eingangsmodul eingespeichert. Jeder Prozessor hat Zugriff zu diesen Daten während seiner Arbeitsphase. Die Statusinformation wird Prüfungen hinsichtlich Beschaffenheit, zeitlicher Unveränderlichkeit und Plausibilität unterworfen, bevor sie von den Prozessoren verarbeitet wird. Status information is offered via status lines SL and a status input module EM and includes the test status of the control devices. This information is stored in the input module during each process cycle. Every processor has access to this data during its working phase. The status information is subjected to checks regarding quality, immutability and plausibility before it is processed by the processors.

Sind die Statusinformationen während des Datenaufnahmezyklus nicht wie zu erwarten unverändert beschaffen und plausibel, so werden sie zurückgewiesen. Zusammen mit dem Ausgangsvergleich sichert diese Technik, daß gestörte Eingangsdaten die Steuerung sicherer Verschlußeinrichtungen nicht beeinflussen können.Is the status information during the Data acquisition cycle does not change as expected procured and plausible, they will be rejected. Together with the baseline comparison, this technique ensures that disturbed input data make the control more secure Can not affect locking devices.

Die Ortung von schienengebundenen Fahrzeugen kann auf irgendeine bekannte Weise vorgenommen werden. Eine bekannte Methode ist eine kontinuierliche Fahrzeugortung durch Gleisstromkreise, die die Kurzschlußwirkung von Fahrzeugachsen vorteilhaft ausnutzen. Andere Ortungsmethoden verwenden Einzelraderkennung am Eingang und Ausgang von Gleisabschnitten z.B. durch elektropneumatische oder magnetische Achszähler. Die Sicherheitssteuereinrichtung erfüllt, wenn sie mit einem solchen getrennten Zugortungssystem, das eine Auswertung der Achszählergebnisse und der Achsdurchgangsrichtungen vornimmt, zusammengeschaltet wird, die Funktion der Sicherung und der Regulierung des Schienenverkehrs.The location of rail-bound vehicles can be made in any known manner. A known method is continuous vehicle tracking through track circuits that the short circuit effect of Take advantage of vehicle axles. Other Location methods use single wheel detection at the entrance and exit from track sections e.g. by electropneumatic or magnetic axle counters. The Safety control device met when using a such separate train location system, which is an evaluation the axle counting results and the axis pass directions performs, interconnected, the function of Securing and regulating rail traffic.

Die Gleisfreimeldung wird mittels Achsdetektoren durchgeführt. Jeder Achsdetektor besteht aus einem Paar von Zählelementen. Die Zählelemente sind nebeneinander an derselben Schiene montiert, was die Feststellung der Durchgangsrichtung erlaubt. Jedes Paar von Zählelementen ist mit einer an der Strecke untergebrachten Zähleinrichtung verbunden. Die Zähleinrichtung zählt die Impulse, die von vorbeifahrenden Rädern erzeugt werden. Sie zählt aufwärts oder abwärts, je nach dem, in welcher Richtung die Fahrt stattfindet. Das Zählergebnis jedes Achsdetektors wird über eine Modemverbindung zur Sicherheitssteuereinrichtung gesendet, wenn es von dort her abgerufen wird. The track vacancy detection is carried out by means of axis detectors carried out. Each axis detector consists of a pair of counting elements. The counting elements are next to each other mounted on the same rail, which is the finding of the Direction of passage allowed. Every pair of counting elements is housed with one on the track Counter connected. The counting device counts the Impulses that are generated by passing wheels. It counts up or down, depending on which one Direction the trip takes place. The counting result of each Axis detector is via a modem connection Security control device sent when it's from there is retrieved here.  

Die Datenübertragung zu den Achszähleinheiten geschieht in der zuvor beschriebenen sicheren Weise, wobei kein Datenwort an die serielle Datenübertragungseinrichtung abgegeben wird, das nicht zuvor mit dem Ausgang der anderen Prozessoren verglichen und mit diesen in Übereinstimmung befunden wurde.The data transfer to the axle counting units takes place in the safe manner described above, with no Data word to the serial data transmission device is delivered, which is not previously with the exit of the compared to other processors and with these in Agreement was found.

Dieser Systemaufbau erlaubt die volle Signalisierung, Steuerung und Überwachung mit allen gebräuchlichen Signalisierungs- und Verschlußeinheiten.This system structure allows full signaling, Control and monitoring with all common Signaling and locking units.

Die beschriebene sichere elektronische Verschlußeinrichtung kann vielseitig verwendet werden. Sie kann zur Signal- und Fahrstraßenstellung, zur Bahnübergangssicherung oder als sichere programmierbare Steuerung oder sicheres Schlüsselsystem eingesetzt werden.The described secure electronic Closure device can be used in many ways. It can be used for signaling and route setting Level crossing protection or as a safe programmable Control or secure key system can be used.

Die Sicherheitssteuereinrichtung kann, wie beschrieben, als direkter Ersatz für bestehende Stellwerke im Eisenbahnverkehr oder im Nahverkehr verwendet werden.The safety control device can, as described, as a direct replacement for existing signal boxes in Railway or local transport can be used.

Eine zweite Verwendungsmöglichkeit für die sichere Steuereinrichtung ist die Bahnübergangssteuerung. Die heutigen Bahnübergangssicherungen verwenden Relaisverschlüsse zur Schrankensteuerung. Als Teil eines Stellwerks kann die sichere Steuereinrichtung jede Schranke innerhalb ihres Streckenbereichs gemäß den Anordnungen des Betreibers in einer sicheren Art und Weise steuern und überwachen. Dieses Merkmal bringt dem Betreiber erhebliche Einsparungen, da es nur eines zusätzlichen Ein-/Ausgabebausteins und eines Logikbausteins in einem mit der sicheren Steuereinrichtung ausgerüsteten Streckenbereich bedarf.A second use for the safe The control device is the level crossing control. The use today's level crossing protections Relay locks for barrier control. As part of a Interlocking can be the safe control device any Barrier within its range according to the Instructions of the operator in a safe manner and Control and monitor wise. This characteristic brings the Operator significant savings as there is only one additional input / output module and one Logic module in one with the safe Control equipment equipped route area needs.

Claims (7)

1. Sicherheitssteuereinrichtung mit zwei Prozessoren, die aus Gleisbesetzungsdaten Stelldaten parallel erarbeiten, miteinander vergleichen und nur bei Übereinstimmung über Ausgaberelais auf Stellbefehlsleitungen ausgeben, dadurch gekennzeichnet, daß die Ausgaberelais (AR) mit externen Ausgabespeichern (AS) der Prozessoren (R 1, R 2) verbunden sind, in denen die Stelldaten gespeichert sind, daß zusätzlich zwei Sicherheitsrelais vorgesehen sind, die die Stromzufuhr zu den Ausgaberelais steuern und deren eigene Stromzufuhr von zwei sicheren Überwachungseinheiten (UE 1, UE 2) gesteuert wird, die je einem der Prozessoren zugeordnet sind und die Sicherheitsrelais nur dann die Ausgaberelais mit Strom versorgen lassen, wenn die von den Prozessoren erarbeiteten Stelldaten übereinstimmen. 1. Safety control device with two processors, which compile control data from track occupancy data in parallel, compare them and output them only if there is a match via output relays on control command lines, characterized in that the output relays (AR) with external output memories (AS) of the processors (R 1 , R 2 ) are connected, in which the control data are stored, that in addition two safety relays are provided which control the power supply to the output relays and whose own power supply is controlled by two safe monitoring units (UE 1 , UE 2 ), each of which is assigned to one of the processors and Only let the safety relays supply power to the output relays if the control data developed by the processors match. 2. Sicherheitssteuereinrichtung nach Anspruch 1, dadurch gekennzeichnet, daß mit jedem der Prozessoren eine Sende/Empfangseinheit (SE 1, SE 2) verbunden ist, die zur Ausgabe und zum Empfang sicherheitskritischer Daten zu und von einem Übertragungskanal geeignet ist und über ein Modem mit diesem Übertragungskanal (K) verbunden ist.2. Safety control device according to claim 1, characterized in that with each of the processors a transmitting / receiving unit (SE 1 , SE 2 ) is connected, which is suitable for outputting and receiving safety-critical data to and from a transmission channel and via a modem with this Transmission channel ( K ) is connected. 3. Sicherheitssteuereinrichtung nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, daß zwischen beiden Prozessoren eine Datenverbindung (CC) besteht, über welche diese den gegenseitigen Vergleich sicherheitskritischer Daten vor deren Ausgabe an die Sende/Empfangseinheiten durchführen.3. Safety control device according to claim 1 or claim 2, characterized in that there is a data connection (CC) between the two processors, via which they carry out the mutual comparison of safety-critical data before they are output to the transmitting / receiving units. 4. Sicherheitssteuereinrichtung nach Anspruch 1, Anspruch 2 oder Anspruch 3, dadurch gekennzeichnet, daß jedem Prozessor ein Festwertspeicher zur Speicherung seines Arbeitsprogrammes zugeordnet ist und ein Schreib-Lese-Speicher zur Speicherung der für den Vergleich vorgesehenen Daten.4. Safety control device according to claim 1, Claim 2 or Claim 3, characterized in that a read-only memory for each processor is assigned to his work program and a Read-write memory for storing the for the Comparison provided data. 5. Sicherheitssteuereinrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die beiden Sicherheitsrelais (VR 1, VR 2) in Reihe geschaltet sind.5. Safety control device according to one of the preceding claims, characterized in that the two safety relays (VR 1 , VR 2 ) are connected in series. 6. Sicherheitsteuereinrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die sicheren Überwachungseinheiten (UE 1, UE 2) je ein signaltechnisch sicher arbeitendes Überwachungsrelais enthalten.6. Safety control device according to one of the preceding claims, characterized in that the safe monitoring units (UE 1 , UE 2 ) each contain a monitoring relay operating in terms of signal technology. 7. Sicherheitssteuereinrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Prozessoren bei Übereinstimmung ihrer Ergebnisse innerhalb jedes Programmzyklus jeweils einen die Übereinstimmung anzeigenden charakteristischen Impuls an die zugeordnete Überwachungseinheit ausgeben und daß letztere einen sicheren Zustand annimmt, wenn der die Übereinstimmung anzeigende Impuls fehlt oder geänderte charakteristische Merkmale aufweist.7. Safety control device according to one of the preceding claims, characterized in that the Processors if their results match one each within each program cycle  Characteristic pulse indicating agreement output the assigned monitoring unit and that the latter assumes a safe state when the Pulse indicating match is missing or changed has characteristic features.
DE19873712833 1986-05-29 1987-04-15 Safety control device Withdrawn DE3712833A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US86884286A 1986-05-29 1986-05-29

Publications (1)

Publication Number Publication Date
DE3712833A1 true DE3712833A1 (en) 1987-12-10

Family

ID=25352423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873712833 Withdrawn DE3712833A1 (en) 1986-05-29 1987-04-15 Safety control device

Country Status (1)

Country Link
DE (1) DE3712833A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0473834A1 (en) * 1990-09-07 1992-03-11 Siemens Aktiengesellschaft Electronic interlocking control system, set up according to the local processor control principle
FR2751445A1 (en) * 1996-07-19 1998-01-23 Mitsubishi Electric Corp LOCKING DEVICE WITH DUAL COMPUTER SYSTEM
EP1273500A1 (en) * 2001-07-02 2003-01-08 Alcatel Relay control

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0473834A1 (en) * 1990-09-07 1992-03-11 Siemens Aktiengesellschaft Electronic interlocking control system, set up according to the local processor control principle
FR2751445A1 (en) * 1996-07-19 1998-01-23 Mitsubishi Electric Corp LOCKING DEVICE WITH DUAL COMPUTER SYSTEM
EP1273500A1 (en) * 2001-07-02 2003-01-08 Alcatel Relay control

Similar Documents

Publication Publication Date Title
DE3431171C2 (en) Track vacancy detection device with axle counting
DE3522418C2 (en)
DE60300486T2 (en) Rail gauge system for a railway track and for communication with trains on this route
CH656099A5 (en) DEVICE FOR SIGNAL-SAFE DATA TRANSFER BETWEEN A ROAD AND ON THESE VEHICLES.
DE2701925C3 (en) Vehicle control with two on-board computers
EP0424664B1 (en) Device for the transmission of control information to a rail vehicle
EP0739802B1 (en) Method for improving availability of multi-section axle counters
DE102012210126A1 (en) Method for operating a network arrangement, network device and network arrangement
EP2088051B1 (en) Method and device for secure setting of a route for a rail vehicle
EP3817961A1 (en) Method for securely exchanging and for securely displaying status data of safety-related components
DE3712833A1 (en) Safety control device
EP1469627B1 (en) Method for secure data transfer
DE102007004917B4 (en) Method and arrangement for controlling and monitoring field elements
DE3007960C2 (en) Electronic signal box
DE3634019C2 (en)
EP3960580A1 (en) Railway control system with an interface adapter and method for configuration
DE2543089C2 (en) Circuit arrangement for securing track vacancy detection information
EP0683082B1 (en) Automatic monitoring device of a route control system for rail vehicle
EP3587214B1 (en) Balise control device
EP1026062B1 (en) Method for evaluating rail contact signals
DE4428822C1 (en) Method and device for warning people in the track area
DE102005037801A1 (en) Railway system and method for forwarding data for a railway system
DE3223327A1 (en) Reliable track clearing device
DE3127363A1 (en) Computer-controlled signal box
EP0525921A2 (en) Data transmission with repetition, one of the messages being cryptic

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee